View in

Sécurité informatique : responsabilité pour les logiciels

Nous comptons sur vous pour mieux sécuriser les logiciels que vous utilisez ou développez

25 octobre, 2016

L’équipe de sécurité informatique du CERN et nos collègues, ainsi que des étudiants externes participant au CERN WhiteHat Challenge et des personnes bienveillantes du monde entier s’emploient à repérer des failles ou des vulnérabilités dans les sites internet ou les logiciels développés et utilisés au CERN. C’est une course sans fin entre les gens bien intentionnés et les malfaiteurs qui rêvent d’exploiter ces failles et ces vulnérabilités afin de pénétrer au CERN pour utiliser nos ressources informatique à des fins malveillantes.

Pourquoi les logiciels comportent-ils des bugs ? La complexité est bien entendu une des raisons, mais il faut voir plus loin. L’origine des failles est humaine. Bien souvent, la sécurité des programmes informatique est négligée en raison de délais serrés, de compétences de programmation insuffisantes ou de la méconnaissance des bonnes pratiques, et rien n’incite à améliorer les choses. Les logiciels mis à part, il n'existe pratiquement aucun autre produit au monde où, dans le cas d'un défaut, c'est au client de subir les conséquences... sauf peut-être dans le cas des drogues ? Dans n’importe quel autre domaine, lorsqu’il existe des risques pour les utilisateurs, par exemple en ingénierie ou en médecine, les fabricants doivent être agréés et des audits et des contrôles de sécurité doivent être réalisés.

Peut-être devrions-nous mettre en place un système de responsabilité encadré par les pouvoirs publics, pour tous les logiciels vendus ou distribués à grande échelle ? La loi obligerait les entreprises et les programmateurs de logiciels à verser une récompense lorsqu’une vulnérabilité est découverte dans un de leurs produits. La somme payée à la première personne qui a découvert la faille serait déterminée en fonction de directives nationales (voire internationales) : cross-site scripting : 1 000 EUR, injection SQL : 5 000 EUR, exécution de code à distance : 10 000 EUR. Elle pourrait même être proportionnelle au nombre d’utilisateurs du logiciel vulnérable. Elle serait ainsi plus élevée pour un logiciel Microsoft que pour un logiciel très peu utilisé. Les entreprises et les développeurs ne devraient toutefois payer que pour les logiciels propriétaires, le paiement des récompenses pour les logiciels libres serait assumé par l’État... Quels seraient les avantages d’un tel système ? Pour commencer, les entreprises et les développeurs de logiciels devraient veiller à la sécurité de leurs logiciels. Ils pourraient bien entendu décider qu’il est plus rentable de payer une récompense et d'améliorer leur logiciel en s’appuyant sur des tests externes ou, mieux encore, ils pourraient choisir de rendre le code source de leur logiciel libre, ce qui profiterait à tout le monde, et la récompense en cas de faille serait alors payée par l’État. Ensuite, ce système constituerait une alternative au marché noir des failles et des vulnérabilités.

Les activités des grey hats, qui gagnent leur vie en vendant des failles, pourraient redevenir légales. Tous les autres passionnés des technologies de l’information – les étudiants en informatique ou même vous et moi – qui ne sont jamais devenus grey hat ou black hat pour des raisons d'éthique, pourraient se former dans le domaine et ainsi disposer d’un revenu supplémentaire. Enfin, chaque logiciel serait examiné par davantage de personnes ; plus le nombre de personnes testant un logiciel est grand, plus le nombre de vulnérabilités découvertes est élevé et plus les bases du logiciel sont sûres. Mais le chemin à parcourir jusque-là est encore long, et de nombreux autres éléments devront sans doute être pris en considération.

Actuellement, nous comptons donc sur VOUS (!) pour mieux sécuriser les logiciels que vous utilisez ou développez. Au CERN, plusieurs possibilités s’offrent aux développeurs :

Suivez les directives générales ou les directives relatives aux applications web ou à la gestion des mots de passe ;
Lisez un livre sur le sujet ;
Utilisez nos outils d'analyse statique de code source afin de mieux sécuriser votre code. Nous proposons même un ensemble de programmes d'analyse statique d'intégration continue dans le cadre de Gitlab Continuous Integration ;
Demandez une analyse de sécurité des sites internet que vous administrez ou utilisez l’outil d’analyse APEX si vous gérez un site internet utilisant Oracle APEX ;
Participez au White Hat Challenge et apprenez à tester la résistance de votre logiciel aux intrusions ;
Contactez-nous à l’adresse Computer.Security@cern.ch si vous avez besoin d'aide !

N'hésitez pas à contacter l'équipe de la Sécurité informatique ou à consulter notre site web.
Si vous voulez en savoir plus sur les incidents et les problèmes de sécurité informatique rencontrés au CERN, consultez notre rapport mensuel (en anglais).

Computer Security